Los investigadores de la empresa israelí de seguridad cibernética Check Point Software Technologies Ltd. han descubierto que una de las aplicaciones más modernas del mundo, la aplicación china TikTok, con más de mil millones de usuarios en todo el mundo, es vulnerable a los ataques de hacking que podían exponer detalles personales como direcciones de correo electrónico y privadas e información personal como vídeos confidenciales.
Los investigadores dijeron que informaron a los desarrolladores de TikTok sobre las vulnerabilidades expuestas en su investigación y que la firma ha corregido las fallas, haciendo que la aplicación sea segura de usar, señaló Check Point en un comunicado el miércoles.
TikTok está disponible en más de 150 mercados en 75 idiomas. En octubre de 2019, TikTok fue la aplicación más descargada en los Estados Unidos, convirtiéndola en la primera aplicación china que ha logrado tal récord.
La aplicación es popular principalmente entre niños y adolescentes, que la utilizan para crear cortos clips de música, principalmente clips de sincronización labial de 3 a 15 segundos, y cortos videos en bucle de 3 a 60 segundos. La aplicación permite a los usuarios compartir, guardar y mantener videos privados (y a veces muy sensibles) de sí mismos y de sus seres queridos.
La aplicación ya ha sido objeto de escrutinio: tanto el Ejército como la Marina de los Estados Unidos la prohibieron a finales del año pasado, y la empresa matriz de TikTok se enfrentaba a una revisión de seguridad nacional en los Estados Unidos. En Israel, la Policía Fronteriza prohibió a sus oficiales el uso de la aplicación china de redes sociales de intercambio de vídeos por motivos de seguridad.
En su investigación, los empleados de Check Point descubrieron que un atacante podía enviar un mensaje SMS falso a un usuario que contuviera un enlace malicioso. Cuando el usuario hacía clic en el enlace malicioso, el atacante podía acceder a la cuenta TikTok del usuario y manipular su contenido: eliminar vídeos, subir vídeos no autorizados y hacer públicos los vídeos privados u «ocultos», a la vez que revelaba información personal guardada en la cuenta, como direcciones de correo electrónico privadas.
La investigación también encontró que el subdominio de TikTok (https://ads.tiktok.com) estaba expuesto a ataques XSS, un tipo de ataque en el que se inyectan scripts maliciosos en sitios web que de otra manera serían benignos y confiables. Los investigadores de Check Point lograron utilizar esta vulnerabilidad para recuperar información personal guardada en las cuentas de los usuarios, incluyendo direcciones de correo electrónico privadas y fechas de nacimiento, según el comunicado.
Los investigadores advirtieron que las aplicaciones de medios sociales ocupan un lugar destacado en las listas de objetivos de los atacantes, e incluso las aplicaciones más populares están en riesgo, aunque la mayoría de los usuarios no son conscientes de este hecho.
“Los datos son generalizados, pero las brechas en los datos se están convirtiendo en una epidemia, y nuestra última investigación muestra que las aplicaciones más populares siguen en riesgo”, dijo Oded Vanunu, jefe de Investigación de Vulnerabilidad de Productos de Check Point. “Las aplicaciones de medios sociales están muy orientadas a las vulnerabilidades, ya que proporcionan una buena fuente de datos privados y ofrecen una buena puerta de superficie de ataque. Los actores malintencionados están gastando grandes cantidades de dinero y haciendo un gran esfuerzo para penetrar en aplicaciones tan grandes. Sin embargo, la mayoría de los usuarios suponen que están protegidos por la aplicación que están utilizando”.
Luke Deshotels del equipo de seguridad de TikTok dijo en el comunicado: “TikTok se compromete a proteger los datos de los usuarios. Como muchas organizaciones, animamos a los investigadores de seguridad responsables a que nos revelen en privado las vulnerabilidades de día cero. Antes de la divulgación pública, CheckPoint aceptó que todos los problemas reportados fueran parcheados en la última versión de nuestra aplicación. Esperamos que esta exitosa resolución fomente la futura colaboración con los investigadores de seguridad”.
Trump subrayó que el ataque fue en represalia por los ataques iraníes y que Estados Unidos está dispuesto a atacar de nuevo, “muy fuertemente”. También dijo que aunque finalmente quiere retirar las tropas estadounidenses de Irak, ahora no es el momento porque permitiría que Irán se afianzara más allí.
Después de la matanza, Irán anunció que ya no estará obligado por el acuerdo nuclear de 2015 y prometió tomar represalias contra los Estados Unidos, sus aliados y los intereses estadounidenses, y dejar «cuerpos de estadounidenses» en toda la región. El parlamento iraquí también votó para instar a la expulsión de las tropas estadounidenses de Irak, lo que socavaría los esfuerzos para luchar contra los jihadistas del Estado islámico en la región y fortalecería la influencia de Irán en Oriente Medio.